jQuery Mobile漏洞会有跨站脚本攻击风险


Posted in Javascript onFebruary 12, 2017

jQuery Mobile漏洞会有跨站脚本攻击风险

概述

根据国外媒体的最新报道,谷歌公司的安全工程师Eduardo Vela在jQuery Mobile框架中发现了一个安全漏洞,这个漏洞将会让 所有使用了jQuery Mobile的网站暴露于跨站脚本攻击风险之下 。

jQuery Mobile项目(jQuery框架中的一个组件)是一个基于HTML5的开发框架,在它的帮助下,开发者可以设计出能够适配目前主流移动设备和桌面系统的响应式Web站点以及应用程序。实际上,jQuery Mobile不仅可以为主流移动平台提供jQuery的核心库,而且它也是一个较为完整统一的jQuery移动UI框架。根据jQuery开发团队的介绍,目前全球范围内大约有十五万个活动站点是采用jQuery Mobile开发的。

jQuery Mobile是目前一个非常热门的项目,下图显示的是Stack Overflow上关于jQuery Mobile的提问数量增长情况:

jQuery Mobile漏洞会有跨站脚本攻击风险

下图显示的是jQuery Mobile的使用统计情况:

jQuery Mobile漏洞会有跨站脚本攻击风险

漏洞描述

几个月之前,当时的Vela正在苦苦寻找内容安全策略(CSP)的绕过方法,但是在研究的过程中他注意到了jQuery Mobile的一种非常有意思的行为。jQuery Mobile会从location.hash属性中获取任意的URL地址,然后再用innerHTML来处理这个URL地址所返回的响应,而在某些特定条件下,攻击者就可以利用它的这种特性来攻击目标网站。当他发现了这种奇怪的行为之后,他便开始继续研究,以确定网站是否存在跨站脚本漏洞。

Vela在对这个XSS漏洞进行了深入分析之后给出了该漏洞的运行机制,大致如下:

1.     jQuery Mobile首先会检查location.hash属性值。

2.     如果location.hash中的数据看起来跟URL地址差不多的话,它会尝试将其添加到浏览历史记录之中(通过history.pushuState实现),然后再利用XMLHttpRequest来对其进行请求访问。

3.     接下来,它会使用innerHTML来处理服务器端的响应数据。

它首先会尝试调用history.pushState方法,这会增加一定的攻击难度,因为你无法对一个跨域的URL使用history.pushState方法。安全专家解释称,虽然从理论上来说,history.pushState方法理应能够防范XSS攻击,但如果网站存在开放重定向漏洞的话,攻击者依旧有可能利用这种安全漏洞来对目标站点实施攻击。

下面是Vela给出的demo【 代码下载 】:

http://jquery-mobile-xss.appspot.com/#/redirect?url=http://sirdarckcat.github.io/xss/img-src.html

根据安全研究专家的描述,目前有很多网站都无法抵御这种类型的攻击,因为很多组织并不认为“开放重定向”是一种安全漏洞,而需要注意的是,像谷歌( /search )、YouTube( /redirect )、Facebook( /l.php )、百度( /link )以及雅虎( /ads/pixe l)这样的热门网站都存在这种安全漏洞。

jQuery Mobile漏洞会有跨站脚本攻击风险

坏消息来了

实际上,这是一个非常简单的漏洞,想要找到这种漏洞其实也很容易。在Vela确认了该漏洞之后,他便立刻将漏洞信息上报给了jQuery Mobile的开发团队,但是当开发团队确认了该漏洞将会给用户带来的安全风险之后,Vela却被告知这个漏洞不会得到修复。

如果修复了该漏洞的话,目前很多正在运行的Web站点和应用程序都将会受到影响,这也是开发团队选择不修复该漏洞的原因之一。Vela在其发表的研究报告【 传送门 】中写到:“jQuery Mobile团队解释称,他们认为“开放重定向”是一种安全漏洞,但是jQuery Mobile的这种获取并呈现URL内容的这种行为并不是一种安全缺陷,而且如果要修复这种所谓的“安全漏洞”,那么将会使大量目前已上线的Web站点和应用程序出现异常,所以他们并不打算做任何的修改。这也就意味着,jQuery Mobile的开发团队不会就这个问题发布任何的更新补丁。而这也同样意味着,所有使用了jQuery Mobile且存在开放重定向的网站都将存在跨站脚本漏洞。”

jQuery Mobile漏洞会有跨站脚本攻击风险

如果目标网站不存在开放重定向漏洞的话,攻击者是否还可以利用这个XSS漏洞来实施攻击呢?Vela和很多其他的安全研究人员也正在进行尝试,但目前仍未取得成功。

Vela表示:“如果你有时间的话,你可以在没有开放重定向漏洞的条件下尝试去利用这个XSS漏洞来实施攻击,这也是一种研究思路。我试过很多种方法,但目前都还没有取得成功。”

总结

开放重定向(Open Redirect)是非常常见的,但它也同样会给网站和应用程序带来巨大的安全风险,因此Vela建议安全社区应该修复“开放重定向”这个功能中存在的安全问题。或者说我们应该统一思想,然后一起将其视为一种安全漏洞。如果整个安全行业在这一点无法达成一致的话,估计还有更多的XSS漏洞在等待着我们。

Javascript 相关文章推荐
Firebug 字幕文件JSON地址获取代码
Oct 28 Javascript
jQuery.autocomplete 支持中文输入(firefox)修正方法
Mar 10 Javascript
javascript实现动态改变层大小的方法
May 14 Javascript
限制文本框只能输入数字||只能是数字和小数点||只能是整数和浮点数
May 27 Javascript
JavaScript实现清空(重置)文件类型INPUT元素值的方法
Nov 17 Javascript
vue项目中做编辑功能传递数据时遇到问题的解决方法
Dec 19 Javascript
jQuery+ajax的资源回收处理机制分析
Jan 07 Javascript
javascript判断回文数详解及实现代码
Feb 03 Javascript
几种响应式文字详解
May 19 Javascript
记录一篇关于redux-saga的基本使用过程
Aug 18 Javascript
vue-cli 默认路由再子路由选中下的选中状态问题及解决代码
Sep 06 Javascript
vant(ZanUi)结合async-validator实现表单验证的方法
Dec 06 Javascript
jQuery、zepto、js常用小技巧
Feb 12 #Javascript
JS中如何实现Laravel的route函数详解
Feb 12 #Javascript
js输入框使用正则表达式校验输入内容的实例
Feb 12 #Javascript
浅谈js中同名函数和同名变量的执行问题
Feb 12 #Javascript
老生常谈jquery id选择器和class选择器的区别
Feb 12 #Javascript
使用jquery判断一个元素是否含有一个指定的类(class)实例
Feb 12 #Javascript
浅谈jQuery中事情的动态绑定
Feb 12 #Javascript
You might like
php mssql 分页SQL语句优化 持续影响
2009/04/26 PHP
CI分页类首页、尾页不显示的解决方法
2016/03/28 PHP
javascript实现轮显新闻标题链接
2007/08/13 Javascript
JavaScript 浮点数运算 精度问题
2009/10/06 Javascript
jquery怎样实现ajax联动框(二)
2013/03/08 Javascript
Array栈方法和队列方法的特点说明
2014/01/24 Javascript
javascript创建createXmlHttpRequest对象示例代码
2014/02/10 Javascript
用jquery实现动画跳到顶部和底部(这个比较简单)
2014/09/01 Javascript
jquery mobile开发常见问题分析
2016/01/21 Javascript
JavaScript 正则表达式中global模式的特性
2016/02/25 Javascript
JS中改变this指向的方法(call和apply、bind)
2016/03/26 Javascript
js时间比较 js计算时间差的简单实现方法
2016/08/26 Javascript
ES6中的rest参数与扩展运算符详解
2017/07/18 Javascript
pm2 部署 node的三种方法示例
2017/10/20 Javascript
微信小程序loading组件显示载入动画用法示例【附源码下载】
2017/12/09 Javascript
vue实现树形菜单效果
2018/03/19 Javascript
微信小程序 扭蛋抽奖机css3动画实现详解
2019/07/19 Javascript
使用vscode快速建立vue模板过程详解
2019/10/10 Javascript
layui 弹出层值回传解决方式
2019/11/14 Javascript
React学习之受控组件与数据共享实例分析
2020/01/06 Javascript
JavaScript定时器使用方法详解
2020/03/26 Javascript
[13:39]2014 DOTA2华西杯精英邀请赛 5 25 NewBee VS DK第一场
2014/05/26 DOTA
菜鸟使用python实现正则检测密码合法性
2016/01/05 Python
python+pyqt5编写md5生成器
2019/03/18 Python
aec加密 php_php aes加密解密类(兼容php5、php7)
2021/03/14 PHP
用CSS3将你的设计带入下个高度
2009/08/08 HTML / CSS
深深扎根运动世界的生活品牌:Tillys
2017/10/30 全球购物
总经理岗位职责
2013/11/09 职场文书
经典优秀毕业生求职信范文分享
2013/12/18 职场文书
优秀村官事迹材料
2014/01/10 职场文书
《浅水洼里的小鱼》听课反思
2014/02/28 职场文书
2014年重阳节老干部座谈会上的讲话稿
2014/09/25 职场文书
优秀党支部申报材料
2014/12/24 职场文书
道德与公民自我评价
2015/03/09 职场文书
刮痧观后感
2015/06/05 职场文书
MySQL系列之开篇 MySQL关系型数据库基础概念
2021/07/02 MySQL